[发明专利]资源访问控制方法、系统、装置、设备及介质

说明书

本发明实施例公开了一种资源访问控制方法、系统、装置、电子设备及存储介质，该方法包括：当接收到针对当前展示资源的操作请求时，确定触发所述操作请求的操作用户标识；根据所述操作用户标识，以及预先获取的对所述当前展示资源具备操作权限的参考用户标识，确定当前用户是否具备操作权限；若当前用户具备操作权限，则对所述操作请求进行响应，否则，拒绝对所述操作请求进行响应。本发明实施例的技术方案，减少了权限校验过程中对数据库的查询操作次数，降低了数据库压力，提升了应用性能。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种资源访问控制方法、系统、装置、电子设备及存储介质。

背景技术

BAC(Broken Access Control，越权访问)是Web应用程序中一种常见的漏洞。越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞，是由于服务器端在接收到数据请求进行操作时没有判断数据的所属人/所属组而导致的越权数据访问漏洞。水平越权漏洞一般出现在一个用户对象关联多个其他对象(例如订单或者地址等)、并且要实现对关联对象的增、删、改以及查操作的过程中。

越权访问是指攻击者在获得低权限用户账号后，利用一些方式绕过应用程序的权限检查，访问或者操作其他同权限用户或者更高权限用户的数据。越权访问的成因主要是因为开发人员在对数据进行增、删、改以及查时对客户端请求的数据过分相信而遗漏了权限的判定。具体的，开发者容易习惯性的在生成增、删、改或者查的表单(或AJAX请求)的时候根据认证过的用户身份来找出其有权限的被操作对象id，提供入口，然后在用户提交数据请求时根据被操作对象id来操作相关对象。在处理增、删、改以及查请求时，往往默认只有有权限的用户才能得到操作入口，进而才能操作相关对象，因此就不再校验权限了。可是，大多数被操作对象的id都被设置为自增整型，所以攻击者只要对相关id加1或者减1，就可以操作其他用户所关联的对象了。

现有的水平越权解决方案一般为在收到高权限请求时，查询数据库中源权限信息表，以确认当前用户是否有对当前资源的操作权限。如此，每次请求都会增加至少一次对权限信息的数据库查询操作，导致数据库压力增加至少一倍，从而影响应用程序的性能。

发明内容

本发明实施例提供一种资源访问控制方法、系统、装置、电子设备及存储介质，减少了权限校验过程中对数据库的查询操作次数，降低了数据库压力，提升了应用性能。

第一方面，本发明实施例提供了一种资源访问控制方法，应用于服务器，该方法包括：

当接收到针对当前展示资源的操作请求时，确定触发所述操作请求的当前用户的操作用户标识；

根据所述操作用户标识，以及预先获取的对所述当前展示资源具备操作权限的参考用户标识，确定所述当前用户是否具备所述当前展示资源的操作权限；

若当前用户具备所述当前展示资源的操作权限，则对所述操作请求进行响应，否则，拒绝对所述操作请求进行响应；

其中，在响应于所述当前展示资源的第一次操作请求从预设数据库获取所述当前展示资源的同时，从所述预设数据库获取所述参考用户标识。

第二方面，本发明实施例还提供了一种资源访问控制系统，该系统包括：

浏览器客户端、服务器前端应用和服务器后端应用；

其中，所述浏览器客户端用于展示资源，并将针对当前展示资源的操作请求通过所述服务器前端应用发送至所述服务器后端应用；

所述服务器后端应用基于所述操作请求解析出参考令牌以及当前用户的操作用户标识，并根据所述当前展示资源标识、所述操作用户标识以及设定随机因子生成实时令牌，根据所述实时令牌以及所述参考令牌确定所述当前用户是否具备所述当前展示资源的操作权限，若当前用户具备所述当前展示资源的操作权限，则对所述操作请求进行响应；